系統(tǒng)管理員網絡安全培訓課程教材-WLAN

WLAN系統(tǒng)管理員培訓教材編者：李小雪單位：重慶移動電話箱：lixiaoxue@培訓對象與人員能力要求：WLAN系統(tǒng)維護人員已掌握TCP/IP基礎知識、WLAN基礎知識、網絡設備配置基礎知識課時安排：培訓目標：目錄WLAN系統(tǒng)的網絡安全管理要求2相關技術及安全標準介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風險及防護手段31◆WLAN認證過程-WEB認證方式APWLANACPortalServerRadiusInternetIP城域網APAP2.發(fā)起HTTP請求訪問Internet業(yè)務應用

1.關聯WLAN，獲取IP地址3.第一次訪問，AC強制到Portal，推送登錄頁面4.認證成功，返回認證結果，AC將IP/MAC地址與MSISDN對應關系加入會話列表5.推送認證成功頁面拒絕服務攻擊-物理層和鏈路層RF干擾主要對2.4GHz頻段進行干擾微波爐、無繩電話等也可能造成無意干擾Duration攻擊利用802.11的沖突避免機制，攻擊者通過修改無線報文參數（NAV，Duration字段），大量搶占空口時間，使正常AP/終端無法收發(fā)報文BeaconFlood向無線信道中發(fā)送大量虛假的SSID，來充斥客戶端的無線信號列表，使客戶端找不到真實的AP,這樣即影響到了正常的無線業(yè)務的運行拒絕服務攻擊-物理層和鏈路層-防護手段無有效手段預防加強巡檢和故障響應，遭受攻擊時通過儀器儀表儀表等手段快速定位攻擊源拒絕服務攻擊-ARP廣播包攻擊者發(fā)起洪泛ARP廣播請求，致使AC向各AP轉發(fā)大量數據，造成網絡擁塞拒絕服務攻擊-ARP廣播包-防護手段AC嚴格劃分VLAN，減小廣播域，并嚴禁VLAN間互通開啟AC的用戶隔離功能禁止AP向與其關聯的所有終端廣播ARP報文開啟接入交換機的端口隔離功能開啟網絡設備DHCPSnooping功能拒絕服務攻擊-ARP廣播包-防護手段Internet…AP無線控制器有線接入網AP隔離，防止不同AP下用戶互通用戶隔離，防止同AP下用戶互通安全管理中心（secCenter）拒絕服務攻擊-針對APSTA與AP連接過程發(fā)生在用戶身份認證開始之前STA的三個狀態(tài)拒絕服務攻擊-針對AP攻擊方式AuthenticationFlood&AssociationFlood認證洪水攻擊和關聯洪水攻擊偽裝客戶端向AP發(fā)送大量的認證或者關聯請求，使目標AP過載或者關聯表填滿，無法響應正常請求，也可能導致已連接用戶斷線De-authenticationFlood&De-associationFlood取消認證洪水攻擊和取消關聯洪水攻擊發(fā)送大量取消認證或者取消關聯請求，使已連接的用戶強制斷線拒絕服務攻擊-針對AP-防護手段協議弱點，無有效手段預防開啟無線拒絕服務攻擊檢測告警功能加強巡檢和故障響應，遭受攻擊時通過儀器儀表儀表等手段快速定位攻擊源拒絕服務攻擊-針對ACDHCP地址耗盡攻擊攻擊者發(fā)送大量虛假的DHCP請求，耗盡地址池中地址，導致AC無法為新合法用戶分配IP合法終端因為IP地址耗盡所以無法正常接入AC給所有實現無線關聯的終端分配IP地址發(fā)送大量虛假DHCP請求AC上的IP地址池中地址很快被非法終端耗盡拒絕服務攻擊-針對ACWEB服務攻擊AC多采用WEB方式管理，自身運行httpd等web服務，可能遭受針對WEB服務的DoS攻擊，造成設備負荷過高案例：2011年某省公司AC遭受SYNFLOOD攻擊，造成CPU負荷過高，業(yè)務中斷攻擊者拒絕服務WLANAC拒絕服務攻擊-針對AC-防護手段DHCP地址耗盡攻擊開啟網絡設備DHCPSnooping功能WEB服務攻擊AC上配置ACL等手段，限制有限地址作為訪問源，拒絕非授權IP訪問AC拒絕服務攻擊-其它Portal風險Portal完全暴露在公網提供WEB服務，存在遭受DOS/DDOS攻擊的風險Radius風險Portal、Radius多存在于一個安全域內，而且WebPortal必須對所有用戶可見，因此Radius的安全性很低，存在遭受DoS及DDoS攻擊的風險拒絕服務攻擊-其它-防護手段WLAN系統(tǒng)嚴格劃分安全區(qū)域Portal與Radius隔離在兩個不同等級安全域內，且Radius安全域等級應高于WebPortal域安全等級

在Portal前部署防火墻、防DDOS、網頁防篡改等安全防護系統(tǒng)，確保高安全強度攻擊者網站防篡改DDOS防護WLANPortal網絡濫用-DNS漏洞繞開計費WLAN認證過程回顧1.用戶連接CMCC的無線接入點2.終端分配到IP地址，進入WLAN的認證前域。此時認證前域配置了訪問控制策略，用戶只能訪問AC、DNS和Portal等地址3.用戶隨意在瀏覽器中輸入一個URL，由DNS解析到網站實際IP地址4.WLANAC將用戶對該網站的請求修改為對Portal服務器的訪問請求，要求用戶強制認證5.用戶在Portal上通過認證，由AC配置進入認證后域網絡濫用-DNS漏洞繞開計費漏洞原理AC在認證過程第3步時未對用戶終端發(fā)起的域名解析請求作目的地址限制，用戶終端不僅可以訪問AC通過DHCP分配的DNS服務器的UDP53端口，也可以訪問其它外網IP地址的相同端口漏洞利用方法惡意人員可以在公網建立一臺VPN服務器，使用UDP53端口提供VPN服務。用戶終端不經過用戶身份認證，就可以通過VPN軟件客戶端建立起與外網VPN服務器的VPN連接，將該VPN服務器作為代理服務器，將正常的上網流量封裝在DNS協議報文中發(fā)送到互聯網上，實現對公網的訪問。此時AC會將所有VPN隧道內的流量視為正常的DNS協議數據予以放行網絡濫用-DNS漏洞繞開計費實現工具OpenVPN，一款開源的VPN軟件危害免認證計費，并且避免了運營商網絡中的監(jiān)控和審計和溯源措施網絡濫用-DNS漏洞繞開計費-防護手段在AC上設置DNS白名單或實施ACL控制，限定認證前域的終端可訪問的DNS為特定地址和特定端口網絡濫用-DNS漏洞繞開計費更進一步如果認證前域的配置嚴格，只明確開放指定的DNS服務器的地址和服務，那么用戶只能連接到運營商指定的DNS服務器，前述漏洞將被封堵另一個思路：將外出流量通過運營商指定的DNS服務器轉發(fā)至外網VPN服務器實現方式：通過將向外訪問的流量封裝在DNS請求協議報文中，由DNS服務器轉發(fā)到外網的VPN服務器，同樣可以逃過AC的訪問控制策略檢查網絡濫用-DNS漏洞繞開計費更進一步VPN建立數據封裝網絡濫用-DNS漏洞繞開計費更進一步實際數據流——三角模式

發(fā)出的數據包接收的數據包網絡濫用-DNS漏洞繞開計費實現工具LoopcVPN危害免認證計費，并且避免了運營商網絡中的監(jiān)控和審計和溯源措施影響DNS服務器——此種方式的訪問對運營商DNS服務器的負荷很大，一般用戶的上網流量中DNS流量只占總流量的不到1%。而此種方式幾乎用戶所有的訪問都是封裝在DNS中。并且運營商本地DNS必須進行遞歸查詢，極其消耗資源。可能影響掛在DNS上的其他重要業(yè)務(如WAP)網絡濫用-IP地址冒用盜用WLAN設備地址用戶和網絡設備在無線側是通過共同的網絡設備向上訪問，兩個地址段屬于不同的VLAN，但可能未作隔離網絡設備地址（AP、交換機等）可能為公網地址非法用戶在獲得AP、AC、交換機等WLAN系統(tǒng)設備地址后，可將自己的終端設置為相同地址段IP，則可能實現免費上網網絡濫用-IP地址冒用盜用合法用戶IP地址原理APWLANACPortalServerRadiusInternetIP城域網APAP用戶認證通過后AC維護會話狀態(tài)表，后續(xù)會話訪問只通過IP地址進行識別，留下安全隱患！網絡濫用-IP地址冒用盜用合法用戶IP地址攻擊者掃描無線網絡中在線的用戶，將通過認證的用戶踢出無線網絡中（DOS攻擊）手工更改本機IP為通過驗證用戶的IP地址，訪問互聯網網絡濫用-IP地址冒用-防護手段盜用WLAN設備地址配置AP、交換機等設備管理地址為私網地址，斷絕用戶地址與設備地址路由嚴格劃分管理VLAN和業(yè)務VLAN設定ACL，限制WLAN設備地址段訪問互聯網盜用合法用戶IP地址設定DHCP租期大于用戶超時下線時間（現在要求DHCP租期大于30分鐘，用戶超時下線時間為15分鐘）AC判斷是否放行用戶訪問時，同時判斷IP地址和MAC地址，增加攻擊者的利用難度敏感信息泄露-網絡竊聽在WLAN環(huán)境中，由于其開放的傳輸介質，使得攻擊者可以非常容易地實施竊聽攻擊明文協議(HTTP,POP3和FTP等)都可以被竊聽可能泄露用戶在網站、郵箱以及BBS上的帳號口令以及訪問記錄敏感信息泄露-網絡竊聽-防護手段Portal認證中，賬號密碼傳輸采用SSL加密，泄露可能性較低數據加密空口加密：WPA2VPN應用層加密：HTTPS/FTPS…敏感信息泄露-偽AP私設SSID為CMCC/CMCC-EDU的AP，誘使用戶連接到此AP，收集用戶的WLAN賬號密碼攻擊者在偽AP后自設WEB服務器，偽造出登錄頁面記錄用戶輸入的賬號密碼信息合法AP

假CMCCAP

用戶（終端）攻擊者Radius服務器敏感信息泄露-偽AP-防護手段開啟非法AP檢測和定位功能，及時發(fā)現偽CMCCAP取消WLAN手機用戶的靜態(tài)密碼登錄方式，采用動態(tài)密碼下發(fā)方式敏感信息泄露-偽DHCP服務器攻擊步驟發(fā)動DHCP地址耗盡攻擊，使AC地址池耗盡，無法向合法用戶分配IP攻擊者冒充DHCP服務器，響應用戶DHCP請求并分配偽IP地址給用戶網關一般設置為攻擊者的地址，從而竊聽用戶流量，獲得未加密的敏感信息敏感信息泄露-偽DHCP服務器更進一步偽DHCP服務器下發(fā)的DHCP配置中，DNS服務器地址設置為攻擊者控制的虛假DNS服務器收到用戶對重要網站（銀行、證券系統(tǒng)等）的域名解析請求，返回釣魚網站IP地址用戶被定向到釣魚網站，泄露帳號密碼等敏感信息敏感信息泄露-偽DHCP服務器-防護手段開啟網絡設備DHCPSnooping功能開啟接入交換機的端口隔離功能開啟AC的用戶隔離功能敏感信息泄露-ARP欺騙同一VLAN下的用戶，如果可以互相訪問，則攻擊者可以使用ARP嗅探的方式截獲其它用戶數據攻擊者廣播虛假ARP包，將合法用戶的網關指定為攻擊者本身用戶流量全部經過攻擊者，數據被竊聽敏感信息泄露-ARP欺騙-防護手段AC嚴格劃分VLAN，減小廣播域，并嚴禁VLAN間互通開啟AC的用戶隔離功能禁止AP向與其關聯的所有終端廣播ARP報文開啟接入交換機的端口隔離功能敏感信息泄露-WLAN用戶密碼生成機制問題WLAN用戶在遺忘登錄密碼后，可通過發(fā)送短信CZWLANMM至10086，系統(tǒng)重置并返回一個新的密碼現網中部分省市將重置密碼設置為默認密碼，因此每次客戶重置密碼，返回的密碼均為“111111”惡意用戶針對號段進行默認密碼嘗試，可能發(fā)現可用賬號，盜用后免費上網敏感信息泄露-WLAN用戶密碼生成機制問題-防護手段增強WLAN用戶密碼生成機制的安全性，避免WLAN系統(tǒng)重置密碼是默認弱口令設備被攻擊利用-網絡設備網絡設備（特別是AC）暴露在公網，易遭受各種攻擊如果AC設備被攻擊者控制，可能存在以下安全風險攻擊者獲取AC設備root權限后，可停止業(yè)務進程、關閉端口，甚至關閉設備，導致用戶無法使用WLAN，影響客戶感知如攻擊者對WLAN業(yè)務較為熟悉，可在AC設備上獲取客戶使用WLAN業(yè)務的帳號名稱、訪問記錄等敏感信息，導致客戶敏感信息泄漏更進一步，在攻擊者很熟悉WLAN業(yè)務流程的情況下，可向上聯Radius服務器發(fā)送異常數據包，導致認證或計費異常，容易引發(fā)客戶投訴，影響公司形象攻擊者在AC設備上安裝惡意程序，作為攻擊者特定用途使用，如發(fā)送垃圾郵件、發(fā)起拒絕服務攻擊等（已有案例）WLAN業(yè)務異常客戶信息泄漏認證/計費異常攻擊發(fā)起源設備被攻擊利用-網絡設備SNMP默認CommunityString（團體字）風險WLAN系統(tǒng)中大量的設備都開啟了SNMP服務，該服務默認口令字為public、privatePublic為只讀權限，只能對設備進行查看Private為讀寫權限，不但能讀取設備的相關信息，還可對這些信息進行修改相關工具：SolarWinds等通過Private權限，可對端口進行關閉操作設備被攻擊利用-網絡設備AC等設備自身漏洞操作系統(tǒng)漏洞WLAN設備如AC、Radius等多基于Unix/Linux等通用操作系統(tǒng)。如果設備自身存在安全漏洞，且互聯網可達，則易被攻擊并成為肉雞案例：2010年某省公司的AC地址被國際發(fā)垃圾郵件組織加入SBL列表。經排查，屬于AC被攻擊后被植入惡意進程，并啟用本地880端口為外部提供代理服務應用服務漏洞WEB/FTP等服務存在安全漏洞，造成被入侵案例：某廠家AC存在繞過驗證下載任意配置文件漏洞設備被攻擊利用-網絡設備設備弱口令對互聯網開放不必要的端口和服務AC登陸協議使用明文傳輸模式部分AC設備不支持SSH、HTTPS等加密形式登陸，使得維護過程中賬號、口令在互聯網明文傳輸，存在被竊聽可能設備被攻擊利用-網絡設備-防護手段賬號口令和SNMP團體字復雜度需滿足集團安全規(guī)范設備管理端口和業(yè)務端口分離。在網絡設備上配置ACL，限定有限地址段訪問和管理設備關閉設備的HTTP/TELNET等明文協議管理方式，采用HTTPS/SSH等加密方式檢查WLANAC設備上進程及開放端口列表，確認是否存在惡意程序及非法端口，如存在則手工關閉后清除，并手工恢復被破壞的系統(tǒng)文件使用安全漏洞掃描設備對所有WLAN相關設備進行安全漏洞掃描，檢查有無高中風險安全漏洞，如有需盡快修補設備被攻擊利用-PortalWLAN的WebPortal由于在公網上能夠訪問，存在網頁篡改、拒絕服務攻擊等網站安全威脅網頁篡改信息竊取拒絕服務非法入侵攻擊者WLANPortal設備被攻擊利用-Portal

-防護手段WLAN系統(tǒng)嚴格劃分安全區(qū)域在Portal前部署防火墻、防DDOS、網頁防篡改等安全防護系統(tǒng)，確保高安全強度攻擊者網站防篡改DDOS防護WLANPortal目錄WLAN系統(tǒng)的網絡安全管理要求2相關技術及安全標準介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風險及防護手段31◆WLAN系統(tǒng)安全域劃分WLAN組網安全要求VLAN隔離與安全域劃分要求AP、AC支持VLAN隔離，AC嚴格劃分VLAN，將AP劃分到不同VLAN中，并嚴禁VLAN間互通由于WebPortal需向用戶開放且Radius系統(tǒng)的重要性，因此需將WebPortal與Radius隔離在兩個不同等級安全域內，且Radius安全域等級應高于WebPortal域安全等級二層隔離要求支持AP下的二層隔離功能；支持用戶隔離功能的打開和關閉地址規(guī)劃要求配置無需訪問公網的設備（如AP、交換機等）地址為私網地址AP、AC管理端口和業(yè)務端口分開方式一：管理端口分配私有IP地址，業(yè)務端口分配公網IP地址方式二：管理端口、業(yè)務端口分在不同的IP地址段WLAN系統(tǒng)設備安全驗收要求合理分配IP、劃分VLAN及安全域網絡設備地址盡量配置私網地址劃分管理VLAN和業(yè)務VLAN細分VLAN，減小廣播域高風險區(qū)域部署防火墻、防DDOS、IDS等安全設備開啟設備防護功能端口隔離用戶隔離DHCPSnooping非法AP檢測WLAN系統(tǒng)設備安全驗收要求嚴格設置訪問控制關閉TELNET/HTTP、僅對維護需要的IP開放特定端口、設置AC的DNS白名單...基線配置檢查賬號口令、SNMP團體字...安全設備配置檢查ACL策略、防火墻策略...系統(tǒng)漏洞掃描，及時修補漏洞WLAN系統(tǒng)安全集團相關要求關于進一步強化WLAN系統(tǒng)安全管理的通知目錄WLAN系統(tǒng)的網絡安全管理要求2相關技術及安全標準介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風險及防護手段31◆WLAN系統(tǒng)日常安全檢查WLAN日常安全維護作業(yè)系統(tǒng)日志安全檢查安全設備運行情況檢查木馬和惡意軟件監(jiān)控重要業(yè)務進程及變化監(jiān)控檢查應用系統(tǒng)端口、服務情況檢查各防火墻訪問控制策略病毒代碼更新工作系統(tǒng)配置、賬號、文件系統(tǒng)檢查更改帳號口令、并審計帳號目錄WLAN系統(tǒng)的網絡安全管理要求2相關技術及安全標準介紹4WLAN系統(tǒng)日常安全檢查33WLAN系統(tǒng)面臨的安全風險及防護手段31◆DHCPSnooping技術介紹DHCPSnooping——DHCP監(jiān)聽允許將設備某個物理端口設置為信任（Trust）或不信任（Untrust）防止偽DHCP服務器攻擊信任端口可以正常接收并轉發(fā)DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄DHCPSnooping技術介紹防止DHCP地址耗盡攻擊比較DHCP請求報文的（報文頭里的）源MAC地址和（報文內容里的）DHCP客戶機的硬件地址（即CHADDR字段），只有這兩者相同的請求報文才會被轉發(fā)，否則將被丟棄防止DHCP廣播泛濫可以對端口的DHCP報文進行限速，從而阻止短時間大量發(fā)送DHCP請求報文造成廣播泛濫無線局域網安全標準（1）-WEPWEP——WiredEquivalentPrivacy，有線等效保密協議是一種可選的鏈路層安全機制，用來提供訪問控制，數據加密和安全性檢驗等無線局域網安全標準（1）-WEP認證機制兩種身份認證方法：開放式——工作站使用MAC地址作為身份證明PSK——Pre-SharedKey，預共享密鑰，單向認證（AP認證終端）加密機制RC4流加密算法40位/104位密鑰+24位IV（初始向量）無線局域網安全標準（1）-WEPWEP脆弱性對RC4算法的使用方式不正確，易被破解IV（初始向量）及密鑰長度短，導致IV重復出現次數較高，造成RC4算法的加密強度大幅度下降無完整性機制，數據易被篡改，容易受到重放攻擊密鑰管理不便，加密、認證使用相同密鑰，泄密可能性大無雙向認證，可能存在虛假AP無線局域網安全標準（2）-WPAWPA（Wi-FiProtectedAccess）802.11idraft3，為了向下兼容的過渡性解決方案認證機制802.1x或WPA-PSK，認證的同時協商本次會話密鑰，將認證與加密機制明確分離加密機制TKIP（TemporalKeyIntegrityProtocol），臨時密鑰完整性協議RC4流加密算法，48位IV，256位密鑰，每幀變換完整性機制Michael信息編碼完整性機制，防止重放攻擊無線局域網安全標準（3）-IEEE802.11iIEEE802.11iWPA2演進圖無線局域網安全標準（3）-IEEE802.11i認證機制802.1x或WPA2-PSK支持雙向認證（用戶和認證服務器之間）認證的同時協商本次會話密鑰，將認證與加密機制明確分離加密機制TKIP，保持向下兼容CCMP（Counter-modeCBC-MACProtocol），帶計數的CBC-MAC協議基于AES加密算法完整性機制提供無線局域網安全標準（4）-WAPIWAPI（WLANAuthenticationandPrivacyInfrastructure），無線局域網鑒別與保密基礎結構我國2003年